лаб.4 (Примеры лаб по МИСЗКИ)
Описание файла
Файл "лаб.4" внутри архива находится в следующих папках: Примеры лаб по МИСЗКИ, Примеры лаб по МИЗСКИ. PDF-файл из архива "Примеры лаб по МИСЗКИ", который расположен в категории "". Всё это находится в предмете "методы и средства защиты компьютерной информации" из 7 семестр, которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лабораторные работы", в предмете "методы и средства защиты компьютерной информации" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Московский Государственный Институт Радиотехники, Электроники и Автоматики(Технический Университет)Отчет по лабораторной работе №4по предмету: «Методы и средства защиты компьютерной информации»Вариант 31Работу выполнил: студент группы ВССУ-8-05Овчинников М.Ю.шифр ВССУ051136Работу проверил: Карпов Д.А.Москва 2008 г.Часть 1. описание перехвата пользовательских данных по сетиЗадание: Описать процесс перехвата пользовательских данных по сети, проведенный в рамкахлабораторной работы.Работа с программой Cain&AbelПрограмма Cain&Abel многофункциональная программа, основной функцией которой являетсяфункция сниффера.Сниффер (от англ.
to sniff — нюхать) - сетевой анализатор трафика, программа или программноаппаратное устройство, предназначенное для перехвата и последующего анализа, трафика,предназначенного для других узлов.В общем случае перехват трафика может осуществляться:обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании всегменте концентраторов (hub) вместо коммутаторов (switch), в противном случае методмалоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);подключением сниффера в разрыв канала;ответвлением (программным или аппаратным) трафика и направлением его копии насниффер;через анализ побочных электромагнитных излучений и восстановление с его помощьюпрослушиваемого трафика;через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofingприводящую), к перенаправлению трафика жертвы или всего трафика сегмента на сниффер споследующим возвращением трафика в надлежащий адрес.В нашем случае использовался метод «прослушивания» сетевого интерфейса.
Из-за того, что икомпьютер «жертвы» и компьютер «злоумышленника» были соединены друг с другом при помощиконцентратора, передающего все поступившие пакеты на все свои порты, компьютер«злоумышленника» получал помимо предназначенных ему пакетов также и все пакеты,предназначенные компьютеру «жертвы» и все пакеты, отправленные им вовне.На компьютере «злоумышленника» была программа Cain&Abel (далее C&A). В ней былазапущена функция сниффера. Она может быть запущена как автоматически при старте программы(если активировать соответствующий пункт в настройках), так и вручную, путем нажатия кнопки сизображением сетевого адаптера на панели инструментов программы.
После запуска сниффераможно в разделе Sniffer – Hosts можно выбрать диапазон IP-адресов для поиска доступныхкомпьютеров. В результате поиска в заданном диапазоне IP-адресов или среди всех адресов подсетибудет получен список доступных хостов, каждому из которых будет соответствовать помимо IPадреса, его mac-адрес и название фирмы производителя сетевого адаптера (что может быть критично,если мы не знаем ip-адрес компьютера «жертвы», но точно знаем характеристики этого компьютера).После этого на компьютере «жертвы» была несколько раз выполнена аутентификация в домене(logoff и login).На компьютере злоумышленника в C&A в во вкладке Sniffer в разделе Passwords в подразделеMSKerb5-PreAuth в соответствующих полях мы видим IP-адреса контроллера домена и компьютера«жертвы», а также хэш пароля.
Переслав информацию в Cracker (инструмент C&A, предназначенныйдля подбора паролей и находящийся в одноименной вкладке) можно запустить подбор пароля пословарю или методом полного перебора.Далее были проведены попытки перехвата пароля почтового ящика «Жертвы» на сервереmail.ru при получении почты через web-интерфейс и при помощи почтового клиента MicrosoftOutlook по протоколу POP3.Перехват по протоколу HTTP не удался из-за низкого быстродействия компьютеразлоумышленника при отсутствии настроек для фильтрации рекламы, из-за обилия которойпрограмма может пропустить непосредственно сам процесс авторизации.Перехват по протоколу POP3 удался. Логин test.mirea и пароль ZUGLE (слово ЯГОДА,набранное при английской раскладке клавиатуры) были успешно перехвачены в открытом виде.2Отступление:В домашних условиях была проведена попытка перехвата паролей при помощи программыCain&Abel v4.9.25, установленной на маломощный компьютер, «раздающий интернет» на другиекомпьютеры домашней сети.Перехват по протоколу HTTP также не удался.
По протоколу POP3 были перехвачены парыlogin/password для почтовых ящиков, расположенных на серверах pochta.ru и mail.ru.Вернемся к описанию лабораторной работы.Далее была проведена попытка перехвата пароля ICQ-аккаунта при помощи программы C&A.Поскольку осенью этого года разработчики ICQ в очередной раз поменяли ICQ-протокол, а новаяверсия ICQ не работает в Windows 2000, то была предпринята попытка перехвата ICQ-пароля прииспользовании ICQ клиента QIP. Однако эта попытка не удалась из-за того, что C&A неподдерживает перехват паролей ICQ новой версии.Работа с программой CaptureNetПрограмма CaptureNet – сниффер, входящий в комплект программ под названием SpyNet.Для проведения эксперимента на почтовый ящик жертвы было отправлено письмо. Накомпьютере «злоумышленника» была запущена программа CaptureNet.
При установке «с нуля» в нейтребуется выбрать из предлагаемого списка «прослушиваемый» сетевой адаптер. В настройкахфильтра (modify filter) указываем, что письма будут приниматься только по протоколу pop3 (порт110).Запускаем перехват (нажатием кнопки Start capture).Поскольку мы знаем, когда «Жертва» приняла почтовое сообщение, мы останавливаемперехват после завершения получения письма. Реальному злоумышленнику пришлось быанализировать весь трафик. Однако можно было также включить фильтр по IP-адресу компьютера«жертвы».Последовательно просматривая содержимое перехваченного трафика, обнаруживаем там такиесведенья, как переданные серверу (в ответ на его запросы) имя пользователя и пароль, а такжеполный текст письма вместе с заголовком (содержащим, в том числе, адрес возврата, адресотправителя, тему, кодировку текста KOI-8R, пометку об отсутствии в письме спама.Теперь необходимо рассмотреть подробнее процесс соединения клиента (C) с сервером (S).Для работы по протоколу POP3-сервер прослушивает порт 110.
Когда клиент хочетиспользовать этот протокол, он должен создать TCP соединение с сервером. Когда соединениеустановлено, сервер отправляет приглашение. Затем клиент и POP3-сервер обмениваютсяинформацией. Это происходит до тех пор, пока соединение не будет закрыто или прервано.3АвторизацияКак только будет установлено TCP соединение с POP3 сервером, он отправляет приглашение,например:+OK POP3 server readyТеперь POP3 сессия находится в режиме AUTHORIZATION. Клиент должен идентифицировать себяна сервере, используя команды USER и PASS.
Сначала надо отправить команду USER, послекоторой в качестве аргумента следует имя пользователя. Если сервер отвечает положительно, тотеперь необходимо отправить команду PASS, за которой следует пароль. Если после отправкикоманды USER или PASS сервер отвечает негативно, то можно попробовать авторизироваться сноваили выйти из сессии с помощью команды QUIT. После успешной авторизации сервер открывает иблокирует (maildrop) почтовый ящик.
В ответе на команду PASS сервер сообщает сколькосообщений находится в почтовом ящике и передаёт их общий размер. Теперь сессия находится врежиме TRANSACTION. Подведём итоги с командами:Команда: USER [имя ящика] - передаёт серверу имя пользователяВозможные ответы: +OK name is a valid mailbox или -ERR never heard of mailbox nameКоманда: PASS [пароль] - передаёт серверу пароль почтового ящика.Возможные ответы: +OK maildrop locked and ready; -ERR invalid password; -ERR unable to lockmaildropПосле успешной идентификации пользователя на сервере POP3 сессия переходит в режимTRANSACTION, где пользователь может передавать ниже следующие команды. После каждой изтаких команд следут ответ сервера.
Вот доступные команды в этом режиме:Основные команды (Transaction):Команда: STAT - в ответ на вызов команды сервер выдаёт положительный ответ "+OK", за которымследует количество сообщений в почтовом ящике и их общий размер в символах. Сообщения,которые помечены для удаления не учитываются в ответе сервера.Возможные ответы: +OK n sКоманда: LIST [номер сообщения (необязательный аргумент)] - если был передан аргумент, тосервер выдаёт информацию о указанном сообщении.
Если аргумент не был передан, то сервер выдаётинформацию о всех сообщениях, находящихся в почтовом ящике. Сообщения, помеченные дляудаления не перечисляются.Возможные ответы: +OK scan listing follows или -ERR no such messageКоманда: RETR [номер сообщения] - после положительного ответа сервер передаёт содержаниесообщения.Возможные ответы: +OK message follows или -ERR no such messageКоманда: DELE [номер сообщения] - POP3 сервер помечает указанное сообщение как удалённое, ноне удаляет его, пока сессия не перейдёт в режим UPDATE.Возможные ответы: +OK message deleted или -ERR no such messageКоманда: NOOP - POP3 сервер ничего не делает и всегда отвечает положительно.Возможные ответы: +OKКоманда: RSET - Если какие - то сообщения были помечены для удаления, то с них снимается этаметка.Возможные ответы: +OK4Вот пример простого сеанса с POP3 сервером:S: <создаём новое TCP соединение c POP3 сервером через порт 110>S: +OK POP3 server readyC: USER MonstrVBS: +OK User MonstrVB is existsC: PASS mymailS: +OK MonsrVB's maildrop has 2 messages (320 octets)C: STATS: +OK 2 320C: LISTS: +OK 2 messages (320 octets)S: 1 120S: 2 200S: .C: RETR 1S: +OK 120 octetsS:S: .C: DELE 1S: +OK message 1 deletedC: RETR 2S: +OK 200 octetsS:S: .C: DELE 2S: +OK message 2 deletedC: QUITS: +OK dewey POP3 server signing off (maildrop empty)C: <закрываем соединение>Отступление: лабораторный эксперимент был повторен в домашних условиях.
